اختراق Drift: كيف سُرق 285 مليون دولار من منصة DeFi في ساعات — وما يعنيه ذلك للبنوك السعودية

في مطلع أبريل 2026، تمكّن مهاجم مجهول من استنزاف ما يقارب 285 مليون دولار من منصة Drift للتمويل اللامركزي (DeFi) خلال ساعات معدودة، مستغلاً ثغرة في آلية التسوية الآنية للعقود الذكية. الحادثة ليست مجرد رقم صادم — إنها اختبار حي لهشاشة البنية التحتية المالية اللامركزية، في وقت تُطلق فيه مؤسسات مالية سعودية مبادرات تجريبية للأصول الرقمية ضمن صندوق الاختبار التنظيمي لـ SAMA.

تفاصيل الاختراق: كيف سُرق 285 مليون دولار؟

Drift هي بورصة لامركزية مبنية على بلوكتشين Solana، تتيح تداول العقود الآجلة الدائمة دون وسيط مركزي. في الأول من أبريل 2026، استغل المهاجم خللاً في آلية التصفية التلقائية (liquidation mechanism) التي تُفعَّل حين تنخفض قيمة الضمانات إلى ما دون نسبة الرفع المالي المسموح به. من خلال سلسلة معاملات منسّقة دقيقة على شبكة Solana، تمكّن من التلاعب بأسعار أوراكل Pyth Network واستغلال بروتوكول التصفية لإفراغ خزينة السيولة. اُستنزف ما يزيد على مليار دولار من القيمة الإجمالية المقفولة (TVL) في البروتوكول قبل أن يُعلّق الفريق التداول ويبدأ تحقيقاً داخلياً. هذا النوع من الهجمات يُعرف في بيئة DeFi بـ Oracle Manipulation Attack، وقد سبق أن استُخدم بصيغ مشابهة في اختراقات Mango Markets عام 2022 وEuler Finance عام 2023.

لماذا يختلف هذا الاختراق عن هجمات الأنظمة التقليدية؟

في أمن المعلومات التقليدي، تبدأ الاستجابة للحوادث بعزل الأنظمة المصابة وإغلاق نقاط الدخول، ثم استعادة البيانات من النسخ الاحتياطية. أما في بيئة DeFi، فالمعاملات لا رجعة فيها بطبيعتها — تُسجَّل فوراً على البلوكتشين ولا يمكن التراجع عنها برقعة برمجية أو تدخل إداري. لا توجد "دعسة ناقصة" يمكن إصلاحها بتحديث عاجل. الخسائر نهائية ما لم يتعاون المهاجم طوعاً على إعادة الأموال — وهو سيناريو نادر رغم حدوثه مرات في حوادث DeFi السابقة. هذا يجعل نموذج الأمن في التمويل اللامركزي مختلفاً جوهرياً: المبدأ لم يعد "اكتشف واحتوِ" بل "امنع بشكل مطلق أو اخسر بشكل مطلق". فضلاً عن ذلك، يعمل البروتوكول على مدار الساعة دون إغلاق، مما يُضيّق نافذة الاستجابة إلى دقائق.

التأثير على المؤسسات المالية السعودية المتجهة نحو الأصول الرقمية

تخضع عدة مؤسسات مالية سعودية حالياً لبرنامج FinTech ExPermit التابع لـ SAMA، وتختبر تطبيقات تعتمد على العقود الذكية في مجالات التسوية الآنية، وتحويلات الرمز المرمّز (tokenized remittances)، وإصدار الصكوك الرقمية. متطلبات SAMA CSCC تُلزم المؤسسات المرخصة بتطبيق معايير أمن التطبيقات على جميع خدماتها الرقمية — غير أن معايير التحقق من العقود الذكية وتقييم مخاطر أوراكل الأسعار لا تزال خارج نطاق التوجيهات الإلزامية الصريحة. اختراق Drift يُسلّط الضوء على فجوة حوكمية واضحة: من المسؤول عن تدقيق كود العقد الذكي قبل الإطلاق الفعلي، ومن يتحمل المسؤولية القانونية وفق نظام PDPL وأنظمة مكافحة الجرائم المعلوماتية حين تُستنزف أموال عملاء بسبب خلل في الكود؟ هذه أسئلة ينبغي أن تملك إجاباتها قبل اليوم الأول للإطلاق.

التوصيات والخطوات العملية

1. إلزام تدقيق العقود الذكية قبل النشر: الاستعانة بشركات متخصصة في تدقيق بلوكتشين مثل Trail of Bits أو Halborn أو OpenZeppelin، مع توثيق نتائج التدقيق ومعالجة جميع الثغرات الحرجة والمتوسطة قبل الإطلاق على الشبكة الرئيسية. يُدمج هذا التوثيق ضمن ملف GRC الخاص بالمشروع.
2. تقييم مخاطر أوراكل الأسعار: أي تطبيق يعتمد على بيانات أسعار خارجية — سواء Chainlink أو Pyth أو غيرها — يجب أن يخضع لتقييم تبعية الأوراكل، ومدى إمكانية التلاعب بها عبر هجمات فلاش لون (Flash Loan Attacks) أو الإبطاء المقصود للتحديثات.
3. وضع حدود تشغيلية واضحة للقيمة المعرّضة للخطر: تحديد سقف أقصى للقيمة المقفولة في أي بروتوكول لامركزي خلال مرحلة الاختبار، مع آليات إيقاف تلقائي (circuit breakers) تُفعَّل عند اكتشاف أنماط معاملات غير طبيعية أو انحرافات حادة في أسعار الأوراكل.
4. دمج الأمن في دورة حياة تطوير العقود الذكية: تطبيق نموذج DevSecOps مُكيَّف مع بيئة السلاسل، يشمل مراجعات أمنية في مراحل التصميم والتطوير واختبار الاختراق قبل الإطلاق على شبكات الاختبار (testnets) وأخيراً الشبكة الرئيسية.
5. التنسيق مع SAMA للإبلاغ الفوري عن الحوادث: تصنيف أي ثغرة أو حادثة أمنية في بروتوكول مالي لامركزي تشغّله مؤسسة مرخصة ضمن متطلبات الإبلاغ وفق الإطار الإشرافي لـ SAMA، مع تحديد إجراءات التعافي وتبعات الامتثال لنظام مكافحة الجرائم المعلوماتية.

الخلاصة

مع تسارع تبني الأصول الرقمية في القطاع المالي السعودي، لا يمكن الاكتفاء بمنهجيات أمن المعلومات التقليدية. اختراق Drift يُثبت أن الدخول إلى بيئة DeFi دون نضج أمني متخصص يعادل فتح خزنة البنك وترك مفتاحها مكتوباً في الكود. الحوكمة، والتدقيق المستقل للعقود الذكية، وتقييم مخاطر أوراكل الأسعار ليست ترفاً تقنياً — إنها شرط للدخول الآمن إلى هذا الفضاء ومتطلب ضمني من متطلبات SAMA لأي مؤسسة تخطو نحو الأصول الرقمية.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.